*W związku z wątpliwościami odnośnie prawidłowości przeprowadzenia w dniu 24 sierpnia 2020r. naboru wniosków w projekcie „Wielkopolska Tarcza Antykryzysowa”, Poznańskie Centrum Superkomputerowo-Sieciowe, na zlecenie Urzędu Marszałkowskiego Województwa Wielkopolskiego, przeprowadziło audyt systemu informatycznego, przygotowanego przez firmę IF ONE na potrzeby przyjmowania i kwalifikacji wniosków o grant w ramach projektu grantowego „Wielkopolska Tarcza Antykryzysowa”, realizowanego przez Wielkopolską Agencję Rozwoju Przedsiębiorczości.*

Przedmiotem audytu systemu informatycznego było:
- zbadanie czy system informatyczny przygotowany przez firmę IF ONE umożliwił wnioskodawcom złożenie wniosków,
- zbadanie czy system informatyczny nie zawierał mechanizmów preferujących określoną kategorię wniosków,
- zbadanie czy system informatyczny nie zawierał elementów, które czyniły by go podatnym na zewnętrzną ingerencję w proces kwalifikacji wniosków.
W ramach przeprowadzonego audytu stwierdzono, że system umożliwiał wnioskodawcy skuteczne złożenie wniosku za pomocą aplikacji do przyjmowania wniosków o grant, a następnie jego kwalifikacje w dniu 24.08.2020 o godz. 9:00 za pomocą wysłanego wcześniej drogą elektroniczną adresu URL do aplikacji kwalifikacji wniosków. W kontekście pytania o podatności systemu na ingerencję z zewnątrz, PCSS przeprowadziło analizę bezpieczeństwa aplikacji oraz przegląd konfiguracji systemów operacyjnych. Zidentyfikowano błędy bezpieczeństwa umożliwiające ingerencję w system, jednak w przekazanych materiałach nie zidentyfikowano śladów tego rodzaju oddziaływania.
Wykonawca audytu, na podstawie dostarczonego materiału, nie stwierdził w systemie ingerencji z zewnątrz ani jakiejkolwiek manipulacji osób trzecich. Jednakże dopatrzył się słabych stron w audytowanym systemie informatycznym.
Wykonawca audytu stwierdził brak dostępności logów z aplikacji do kwalifikacji wniosków, zawierających informacje m.in. o adresie IP. Dostawca systemu poinformował, że był to zabieg w celu optymalizacji działania aplikacji, zwłaszcza w kontekście dużej liczby zgłoszeń, jakiej był świadomy. Możliwość obsługi dużej liczby żądań HTTP była także powodem braku dodatkowych mechanizmów zabezpieczających proces kwalifikacji wniosków, jak np. rozwiązanie tzw. „captcha”. W rezultacie mimo bardzo dużego zainteresowania kwalifikacją wniosków system był dostępny przez cały czas trwania naboru.
Wobec powyższego, w celu skompletowania informacji na temat adresów IP wnioskodawców i przypisania ich do złożonych wniosków konieczne było przekazanie tych danych przez poszczególnych wnioskodawców do WARP oraz przeprowadzenie pogłębionej i wnikliwej weryfikacji w tym zakresie. Skompletowanie informacji o tym, który wniosek i o której godzinie znalazł się na liście i przez kogo był wysłany, pozwoliło na zidentyfikowanie wniosków złożonych przez tzw. boty i określenie, jak duży jest udział tej grupy wniosków w ramach całej listy.
Według informacji przekazanej przez Wielkopolską Agencję Rozwoju Przedsiębiorczości weryfikacja doprowadziła do następujących ustaleń:
• W przypadku ponad 80% przedsiębiorców-wnioskodawców, którzy dotychczas przekazali adres IP, weryfikacja merytoryczna i techniczna potwierdziła poprawność złożonych wniosków.
• Dotychczasowa weryfikacja otrzymanych od wnioskodawców adresów IP pozwoliła jednocześnie stwierdzić, że wystąpiło kilkanaście sytuacji, w których różne wnioski były składane z tych samych adresów IP. Te sytuacje wymagają dodatkowego sprawdzenia oraz uzyskania uzupełniających wyjaśnień od wnioskodawców.
o W jednym przypadku z jednego, tego samego adresu IP złożono 25 wniosków i jest to największa liczba wniosków z jednego adresu IP.
o Kolejne dwa przypadki dotyczą jednego adresu IP dla 9 wnioskodawców.
o W przypadku trzech pojedynczych zdarzeń wspólny adres IP dotyczył 12, 8 i 5 przedsiębiorców.
o Pojawiło się także 5 sytuacji, w których jeden wspólny adres był wykorzystany przez 4 firmy.
o 16 razy, wspólny adres IP wskazało po 3 przedsiębiorców.
o Przypadki, kiedy z jednego adresu IP zarejestrowano 2 wnioski wykazano 131 razy.
• Tylko 7 zakwalifikowanych wstępnie wniosków ma znamiona wysłania ich w sposób zautomatyzowany. Dwa z nich zostały złożone z tego samego adresu IP. W przypadku pozostałych pięciu, każdy ma inny adres IP.
Warto podkreślić, że powyższa szczegółowa i wielostronna analiza danych została zrealizowana przez specjalistę pracującego na zlecenie WARP przy bardzo dużym zaangażowaniu i pełnej współpracy przedsiębiorców-wnioskodawców wstępnie zakwalifikowanych w ramach naboru, którzy w większości bezzwłocznie odpowiedzieli na prośbę WARP o przekazanie adresu IP, z którego złożono wniosek. Dane te przekazało dotychczas 2323 przedsiębiorców, co stanowi ponad 80% przedsiębiorców zakwalifikowanych w konkursie o grant. Odebrano sygnały od przedsiębiorców, z którymi WARP pozostaje w kontakcie, że w najbliższych dniach liczba ta może jeszcze wzrosnąć.
Przeprowadzenie opisanych działań sprawdzających pozwala stwierdzić, iż pomimo zidentyfikowanych słabości systemu informatycznego, konkurs został przeprowadzony zgodnie z regulaminem, a wyłoniona w jego wyniku lista pozwoli na otrzymanie dotacji przez przedsiębiorców, którzy zgodnie z obowiązującymi regułami, złożyli swoje wnioski.
Nie ma więc podstaw do unieważnienia konkursu grantowego z dnia 24.08.2020 r.
Rozpoczęliśmy pracę nad procedurą pomocy dla przedsiębiorców najbardziej poszkodowanych przez pandemię w wyniku decyzji administracyjnych. Chcielibyśmy pozyskać środki finansowe na rzecz tej pomocy. Ich źródłem będą oszczędności w ramach naszego Wielkopolskiego Regionalnego Programu Operacyjnego, oczywiście za zgodą Komisji Europejskiej. Liczymy na przesunięcie oszczędności w zakresie pomocy średnim firmom ze strony instytucji rządowych. Zarząd Związku Województw RP wystąpił do Premiera RP o przekazanie niewykorzystanej kwoty 1 mld 400 mln zł na rzecz wszystkich województw. Liczymy także na partycypację w instrumencie REACT – EU, czyli nadzwyczajnej pomocy ze strony KE na rzecz krajów poszkodowanych przez pandemię Covid – 19. Chcielibyśmy mieć do dyspozycji – w ramach tego postępowania – co najmniej 100 mln zł.
Od tej chwili, wszystkie kwestie związane z realizacją procedury konkursu grantowego w ramach projektu pt. „Wielkopolska Tarcza Antykryzysowa” będą prowadzone w Wielkopolskiej Agencji Rozwoju Przedsiębiorczości, która niezwłocznie opublikuje na swojej stronie internetowej listę potencjalnych beneficjentów zakwalifikowanych do wsparcia.